NetBackup IT Analytics セキュリティおよび暗号化リファレンス

Last Published:
Product(s): NetBackup IT Analytics (11.6)

AD/LDAP の構成

NetBackup IT Analytics はユーザー認証をサポートしており、必要に応じて、AD (Active Directory) または LDAP (Lightweight Directory Access Protocol) を使用した認証をサポートします。

AD/LDAP の認証と認可の構成は、portal.properties ファイルの構成パラメータを使用して行います。

AD/LDAP の構成プロパティ

AD/LDAP の構成は次のプロパティをサポートしており、portal.properties ファイルで設定できます。

OS 固有の portal.properties ファイルの場所:

  • Linux の場合: /opt/aptare/portalconf/portal.properties

  • Windows の場合: C:\opt\aptare\portalconf\portal.properties

表: AD/LDAP の構成プロパティ

プロパティ

説明

ldap.enabled

LDAP を有効にするには、このプロパティを true に設定します。

サポートされる値: true | false

ldap.searchBase

  • 認証ディレクトリ内のユーザーを見つけるために検索を実行する場所。

  • Active Directory (AD) 検索ベースと呼ばれることがよくあります。LDAP ユーザーを検索する場合、これは Active Directory ツリーの開始点になります。この検索ベース (LDAP 識別名形式) には、完全修飾ドメイン名が含まれています。NetBackup IT Analytics は、検索ベースを 1 つだけサポートします。

例: dc=example,dc=company,dc=com

ldap.url

  • AD のホストとポートを設定します。この URL 値には接頭辞 ldap: が付くことに注意してください。SSL を使用している場合は、接頭辞を ldaps に変更します。

  • 外部 LDAP 構成に Active Directory を使用している場合は、ポート 389 の代わりにグローバルカタログポート 3268 を使用できます。

  • SSL を使用している場合は、標準の ldaps にセキュアグローバルカタログポート 3269 または 636 を使用できます。

例: ldap://example.company.com:389 または ldaps://example.company.com:636

ldap.dn

  • SEARCHBASE を検索する権限を持つユーザーの ID を設定します。このユーザーはすべての LDAP ディレクトリサーバーを検索できる必要があります。

  • NetBackup IT Analytics には、Active Directory 構造内のベース DN (識別名) で検索する権限を持つユーザーが必要です。これは、管理者権限を持つアカウントである必要があり、通常は管理者です。このアカウントは、Active Directory がインストールされたときに作成された管理者アカウントか、作成時に管理者権限を付与されたアカウントまたは管理者権限を持つグループに配置されたアカウントのいずれかにできます。

  • Active Directory を使用している場合、Active Directory サービスで匿名バインドが許可されていないため、この設定を指定します。Microsoft Active Directory には、LDAP ディレクトリを検索するための十分な権限を持つユーザーのユーザー名とパスワードが必要です。

例: 

ldap.dn =CN=Admin,CN=Users,DC=example,
DC=company,DC=com

ldap.password

ldap.dn プロパティで使用されるユーザーのパスワードを設定します。LDAP の構成後にポータル Tomcat サービスを再起動すると空になり、暗号化された値が ldap.password.encrypted プロパティに設定されます。

ldap.password.encrypted

LDAP の構成後にポータル Tomcat サービスを再起動すると設定されます。ldap.password プロパティの暗号化された値が格納されます。

ldap.loginAttribute

認証に使用されるログイン属性。これは、uidsAMAccountName などの、ユーザー名を指定する Active Directory の属性名です。

例: ldap.loginAttribute=sAMAccountName

ldap.authorization

true に設定すると、ポータルは AD グループに対してユーザーを認可します。

新しいユーザーが属する少なくとも 1 つの AD グループを、ポータルでユーザーグループとして構成する必要があります。

メモ:

AD グループがポータルのユーザーグループにマッピングされていない場合、ログイン中に「外部 LDAP ユーザーにはユーザーグループマッピングが存在しません (No user group mapping present for external LDAP user)」というエラーが表示され、認証が失敗します。

サポートされる値: true | false

ldap.newUserDomain

新しいユーザーが作成されるポータルドメイン名。ldap.authorization が true に設定されている場合にのみ使用されます。

ポータルでドメイン名を見つけるには、[管理 (Admin)]、[ドメイン (Domains)]、[ドメイン名 (Domain Name)]の順に移動します。

例: ldap.newUserDomain=example.company.com

ldap.keystore

LDAP で SSL サポートが有効になっている場合は、次の設定が必要です。

  • AD 証明書を含むキーストアパスの場所

  • aptare:tomcat 権限

メモ:

LDAP で SSL が有効になっていない場合は、これをコメントアウトする必要があります。

ldap.keystore.password

ldap.keystore プロパティに設定されているキーストアのパスワード。LDAP の構成後にポータル Tomcat サービスを再起動すると空になり、暗号化された値が ldap.keystore.password.encrypted プロパティに設定されます。

メモ:

LDAP で SSL が有効になっていない場合は、これをコメントアウトする必要があります。

ldap.keystore.password.encrypted

LDAP の構成後にポータル Tomcat サービスを再起動すると設定されます。ldap.keystore.password プロパティの暗号化された値が格納されます。

メモ:

LDAP で SSL が有効になっていない場合は、これをコメントアウトする必要があります。

ldap.disable.user.attribute.name

(11.0 から利用可能)

この値は、ユーザーがアクティブまたは非アクティブかどうかを示す AD 属性です。AD を介したポータル認証中、REST API はこのプロパティに割り当てられている AD 属性を使用して、ユーザーがまだアクティブな AD ユーザーであるかどうかを確認します。

たとえば、ユーザーがアクティブか無効かを示す AD 属性が ad.user.active の場合、このプロパティの値として ad.user.active を割り当てる必要があります (ldap.disable.user.attribute.name=ad.user.active)。

ldap.disable.user.attribute.value

(11.0 から利用可能)

この値は AD 属性の値 (ldap.disable.user.attribute.name で指定) と同じにする必要があります。これは、AD ユーザーが無効なことを示します。

たとえば、ad.user.active が AD のユーザー状態の属性である場合、liveinactivejoined などの複数の値を持つ場合があります。AD でユーザーが無効であることを値 inactive で示す場合、このプロパティの値として inactive を設定する必要があります (ldap.disable.user.attribute.value=inactive)。

REST API は、この値と、ldap.disable.user.attribute.name プロパティで指定された AD 属性の値を一致させます。値が一致すると、ユーザーは NetBackup IT Analytics ポータルで無効になります。

メモ:

ポータルのスーパーユーザーは、過去に AD とポータルの両方で非アクティブ化して、AD でのみ再びアクティブ化したユーザーを、明示的にアクティブ化する必要があります。適切な権限を持つポータル管理者も、このようなユーザーをアクティブ化できます。ユーザーをアクティブ化しない場合、ポータルへのアクセスは制限されます。

ユーザー認証と認可のために AD/LDAP を構成するには、ポータル管理者がポータルにユーザーグループを少なくとも 1 つ作成し、そのユーザーグループは AD/LDAP にもユーザーグループとして存在する必要があります。

SSL を介した LDAP のサポート

自己署名証明書または標準以外の認証局 (CA) の AD 証明書を使用している場合、AD 証明書を格納するキーストアが必要となり、portal.properties ファイルで LDAP 構成を更新する必要があります。CA からの標準証明書を使用している場合、これは省略可能です。